- elasticsearch/
elasticsearch 使用cisco syslog进行Logstash字符编码
elasticsearch 使用cisco syslog进行Logstash字符编码
我在服务器上设置了一个麋鹿堆栈。我配置了logstash和其他东西,并向logstash发送syslog测试消息。一切正常 现在,我尝试将syslog消息从Cisco WLC和Cisco交换机发送到logstash,似乎消息编码是错误的 在logstash日志文件中,我看到以下条目(我删除了消息) [2018-01-09T16:04:24603][WARN][logstash.codecs.plain]收到一个事件,该事件的字符编码与您配置的不同。{:text=>“0\x82\u0002B\u0002\u0001\u0001\u000…[出于安全目的而删除],:预期字符集=>“UTF-8”} 我的日志存储配置文件的输入如下:
input {
udp {
port => 514
type => syslog
codec => plain {
charset => "ISO-8859-1"
}
}
}
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
}
}
我已经尝试在输入中使用编解码器,但没有成功。我做错了什么?我有一个类似的问题。我在输入配置中有一个默认的“tcp”模式。我将其替换为“beats”(因为我使用filebeat将日志发送到logstash),问题得到了解决。我有一个类似的问题。我有一个默认的“tcp”“输入配置中的模式。我将其替换为“beats”(因为我使用filebeat将日志发送到logstash),问题得到了解决。logstash仅支持RFC3164系统日志消息,Cisco仅支持RFC5424。
因此,您需要找到一种将RFC5424转换为RFC3164的方法。Logstash仅支持RFC3164系统日志消息,Cisco仅支持RFC5424。 因此,您需要找到一种将RFC5424转换为RFC3164的方法